Autentica o sshd do Linux com o TACACS + (Cisco ACS)

8

Nossa equipe de engenharia de rede usa vários servidores Linux para coleção de syslog , backups de configuração, tftp, etc ...

Queremos usar o TACACS + em uma máquina Cisco ACS como nosso servidor de autenticação central, onde podemos alterar senhas e contas atividade do usuário nesses servidores linux. Também precisamos voltar à senha estática no caso de o serviço tacacs + estar inativo.

Como podemos fazer sshd no CentOS autenticar contra nossos Cisco ACS tacacs + servidor?

OBSERVAÇÃO: Estou respondendo a minha própria pergunta

    
por Mike Pennington 06.09.2012 / 18:53

1 resposta

10

Suposições

  • Estamos compilando pam_tacplus.so da v1.3.7 da biblioteca pam_tacplus
  • O servidor Cisco ACS é 192.0.2.27 e a chave secreta tacacs + é d0nttr3@d0nm3

Instruções de instalação

  1. Adicione o nome do host / endereço IP do servidor linux no Cisco ACS e reinicie o serviço Cisco ACS
  2. Faça o download do tacacs + módulo PAM do SourceForge.
  3. Instale o pacote de desenvolvimento pam para sua distro linux. RHEL / CentOS chamam de pam-devel ; Debian / Ubuntu chamam de libpam-dev (um nome de pacote virtual para libpam0g-dev ).
  4. Descompacte o módulo tacacs + pam em um diretório de trabalho temporário ( tar xvfz pam_tacplus-1.3.7.tar.gz )
  5. cd na nova pasta criada por tar .
  6. Como root: ./configure; make; make install
  7. Como root, edite /etc/pam.d/sshd e adicione essa linha como a primeira entrada no arquivo:

    auth include tacacs

  8. Como root, crie um novo arquivo chamado /etc/pam.d/tacacs :

    #%PAM-1.0
    auth       sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3
    account    sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh
    session    sufficient   /usr/local/lib/security/pam_tacplus.so debug server=192.0.2.27 secret=d0nttr3@d0nm3 service=shell protocol=ssh

Instruções por servidor / por usuário

Como root em cada servidor, crie uma conta de usuário linux local que corresponda aos tacacs + username para todos os usuários requeridos. Os usuários podem, opcionalmente, usar passwd para definir sua senha local para o que quiserem como último recurso; no entanto, se eles definirem uma senha local, eles poderão fazer login localmente a qualquer momento sem tacacs+ , mesmo que o serviço esteja disponível.

pam_tacplus Informação do serviço

Os detalhes de como o módulo pam_tacplus.so funciona estão neste pam-list arquivado email

    
por 06.09.2012 / 18:53